Tecniche di a*acco
Debolezze del protocollo IP
Duplicate fragment a*ack
Quando un messaggio IP è troppo grande viene spezze*ato in più par? (frammen').
Un a*accante può inviare fin# frammen# molto simili a quelli veri → il computer potrebbe usarli al posto degli
originali. In questo modo i da? veri vengono sos?tui? da quelli dell’a*accante.
IP spoofing
Invio di paccheI contenen? un indirizzo IP diverso dal proprio all’interno dell’header.
Non è un a*acco completo ma è alla base di numerosi a*acchi. Esiste in due forme dis?nte:
- Man in the middle (MITM)
- Blind IP spoofing
Entrambi gli a*acchi precedent sono basa? sull’incapacità del protocollo IP di garan?re l’iden?tà dei due a*ori che
partecipano ad una comunicazione
Contromisure in grado di auten?care i due host:
IPSec
Protocolli come PPTP,L2TP, GRE
Protocolli come SSL/TLS,SSH
Il protocollo IP in alcune sue implmìementazioni presenta ulteriori pun? deboli che possono essere sfru*a? da hacker
per a*acchi di ?po Denial of Service (DoS)
L’unica contromisura efficace è tenere il proprio sistema aggiornato, installando gli aggiornamen? forni? dai produ*ori
dell’hardware o del so]ware
Land a*ack
Basato su IP spoofing consiste nell’inviare alla stazione target un pacche*o IP con indirizzo sorgente e indirizzo
des?nazione uguali. Colpisce alcuni sistemi opera?vi Windows e Cisco data?, causandone un forte rallentamento
Teardrop
Fraammentazione di un paccche*o IP in frammen? sovrappos? piu*osto separa?. Sono affeI alcuni sistemi opera?vi
Windows e UNIX, che vengono blocca? e crashano
Last fragment length changed
Consiste nella frammentazione di un pacche*o IP e nella riduzione della lunghezza dell’ul?mo frammento, in modo
che il des?natario rimanga sempre in a*esa dei da? mancan? prima di poter riassemblare il pacche*o
Ping of death
Invio di un pacche*o ping con dimensioni superiori a 64kB, rendendo impossibile il riassemblaggio del pacche*o da
parte del des?natario e causandone il blocco e il crash
Zero length a*ack
Invio di un pacche*o IP il cui campo Length sia posto a zero: può bloccare il target
Tiny fragment a*ack
Consiste nell’invio di un pacche*o IP frammentato in numerosi frammen? molto piccoli, e può causare il crash del
sistema target mentre cerca di riassmblare il pacche*o: inoltre, se i frammen? sono sufficientemente piccoli, parte
dell’header TCP può finire nei frammen? successivi al primo, e questo perme*e di aggirare i controlli effe*ua? da
firewall stateless
Empty fragment a*ack
Invio di un frammento IP che non con?ene da?; può bloccare la stazione target
IP unaligned ?mestamp
Invio di un pacche*o IP con l’opzione ?mestamp non regolare, non allineata nei 32 bit; sono vulnerabili alcune versioni
di NetBSD e FreeBSD che subiscono un crash del sistema
Mol? di ques? a*acchi u?lizzano IP spoofing per nascondere l’iden?tà dell’a*accante e frammentano i paccheI IP per
far si che i target vengano impegna? nell’opera di riassemblaggio.
Nella scelta dei firewall è perciò consigliabile usare firewall di ?po stateful invece che stateless, perché offrono una
protezione maggiore
Debolezze del protocollo ARP
• Basato su trasmissioni broadcast, e stateless, quindi non è semplice stabilire una relazione tra le richieste
inviate e le risposte ricevute.
• Il sistema opera?vo man?ene una cache per conservare le relazioni tra indirizzi IP ed indirizzi MAC: tali cache
vengono aggiornate anche a*raverso le richieste ricevute.
• Un a*accante può sfru*are questo meccanismo di learning tramite l’invio di finte richieste ARP: questo
a*acco viene de*o ARP cache poisoning, perché mira a modificare in modo fraudolento le cache dei
computer in rete.
Contromisure:
• Una robusta amministrazione di tu*e le stazioni della rete, non soltanto di quelle che contengono da? o
servizi sensibili.
• Monitoraggio del traffico della rete ed in ingresso alle stazioni, per cercare di individuare ARP reply non
richieste.
Debolezze nella ges?one del rou?ng
La modifica delle tabelle di rou?ng di un router può:
perme*ere a malintenziona? di modificare il percorso di un pacche*o, per esempio per farlo passare
o a*raverso un proprio router e leggerlo o modificarlo.
far sì che un pacche*o non arrivi a des?nazione, realizzando così un a*acco di ?po DoS.
o
Un modo per modificare le tabelle di rou?ng è di conne*ere opportunamente il proprio router alla rete, e di far sì che
il protocollo di rou?ng presente modifichi le tabelle.
Alterna?vamente, si può tentare di accedere ai router della rete da remoto, tramite telnet o con un cavo seriale, e
modificare manualmente le tabelle di rou?ng.
Contromisure:
• È fondamentale impedire l’accesso, dire*o o remoto, di estranei non autorizza? ai disposi?vi, proteggendoli
con password sicure ed in locali non accessibili al pubblico.
• La configurazione sta?ca del rou?ng è il modo migliore per far sì che l’aggiunta di un router estraneo non
modifichi le tabelle.
• Se invece si usa un algoritmo di rou?ng dinamico è consigliabile u?lizzare un protocollo che preveda
l’auten?cazione dei device, e configurare i router per non acce*are annunci di rou?ng da device non
auten?ca?.
Debolezze dei protocolli TCP e UDP
I due protocolli di trasporto più diffusi hanno pun? deboli dis?n?, ma entrambi non impediscono il fingerprin#ng di
una stazione target; per fingerprin?ng si intende l’iden?ficazione della stazione, del suo sistema opera?vo e dei servizi
aIvi.
Il fingerprin?ng in sé non è un a*acco, ma non è consigliabile lasciare che un a*accante possa raccogliere facilmente
de*agli sulla macchina target.
Una delle tecniche più diffuse per o*enere il fingerprin?ng del
Accedi a tutti gli appunti
Tutor AI: studia meglio e in meno tempo
Appunto